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(3) Verfahren zur Sicherung eines Programmablaufs 

(§) Die Erfindung betrifft ein Verfahren zur Sicherung des 
Programmablaufs beim Aufruf von Unterprogrammen. 
Bekannte Verfahren zur Datensicherung wirken zwar einer 
Auswertung der Daten durch gezielte Prog ram munter- 
brechung entgegen, bieten jedoch keinen wirksamen 
Schutz bei modular aufgebauten Programmen, insbeson- 
dere beim Aufruf von Unterprogrammen. Gemafc der Er- 
findung fuhrt deshalb das aufgerufene Programm vor 
bzw. wahrend der Programmausfiihrung eine Uberpru- 
fung der vom aufrufenden Programm direkt oder indirekt 
ubermittelten Daten aus. 
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Beschreibung 

Die vorliegende Erfindung betrifrt ein Verfahren zur Si- 
cherung des Programmablaufs gemaB Anspruch 1 . 

Insbesondere bei sicherheitsrelevanten Anwendungen, 5 
beispielsweise im Bereich von IC-Karten ist es notwendig, 
den Programmablauf vor unerlaubten Manipulationen zu 
schiitzen. Zum Schutz geheimer Daten, beispielsweise ge- 
heimer Schlusseldaten, ist es bekannt, die zu schiitzenden 
Daten verschliisselt abzulegen, um ein Auslesen durch Un- 10 
berechtigte zu verhindern. 

Der Zugriff auf geheime Daten kann jedoch auch dadurch 
erfolgen, da8 der Programmablauf gezielt unterbrochen 
wird, so daB Fehler in den Verschlusselungsroutinen entste- 
hen, aus denen nach mehrmaliger gezielter Unterbrechung 15 
auf die geheimen Dalen riickgeschlossen werden kann. 

Zur Vermeidung derartiger AngrifTe ist es notwendig, 
Fchlcr odcr Storungcn dcs Programmablaufs sic her zu cr- 
kennen. Aus der deutschen Patentschrift DE 37 09 524 C2 
ist ein Verfahren zur Uberprufung der Speicherzelleninhalte 20 
eines Programmspeichers in einem Rechner bekannt. Dort 
werden mehrere Priifsummen abgespeichert, welche aus 
Speicherzelleninhalten von unterschiedlichen AdreB- und 
Datenspeicherbereichen gebildet werden. Die Priifsummen 
werden zu Beginn und/oder wahrend des ReehnerbeLriebs 25 
ermittelt und mit der abgespeicherten Prufsumme vergli- 
chen. Bei Feststellung einer Abweichung wird ein Fehlersi- 
gnal ausgegeben. 

Das aus der DE 37 09 524 C2 bekannte Verfahren eignet 
sich hauptsachlich dazu, die Richtigkeit von Daten, welche 30 
in einem Programm verwendet werden, zu uberprufen. Es 
wird auBer Acht gelassen, daB auch bzw. insbesondere bei 
Programmaufrufen, d. h. bei der Ausfuhrung von Unter- 
oder Funktionsprogrammen eine Manipulation des Pro- 
grammablaufs erfolgen kann. 35 

Es ist deshalb Aufgabe der vorliegenden Erfindung, ein 
Verfahren anzugeben, das die sichere Uberprufung von mo- 
dular aufgebauten Programmen, insbesondere bei Unterpro- 
grammaufrufen, zulaBt. 

GemaB der Erfindung wird diese Aufgabe gelost, indem 40 
vom aufgerufenen Programm eine Dateniiberpriifung ausge- 
fuhrt wird, welche den sicheren Ubergang der vom aufru- 
fenden Programm zu iibergebenden Daten feststellt. 

Durch die Erfindung wird eine zusatzliche Sicherheit er- 
reicht, die nicht nur gewahrleistet, daB einzelne Programm- 45 
teile sicher und vollstandig ausgefuhrt werden, sondern daB 
der gesamte Programmablauf ungestort und frei von Mani- 
pulationen ablaufen kann. 

Eine vorteilhafte Ausfuhrungsform der Erfindung sieht 
vor, daB iiber die vom aufrufenden Programm an das aufge- 50 
rufene Programm ubergebenen Parameter zunachst vom 
aufrufenden Programm eine Checksumme gebildet wird, 
welche in einem dafur vorgesehenen Speicherbereich abge- 
legt wird. Nach Ubergabe der Parameter wird auch vom auf- 
gerufenen Programm iiber die erhaltenen Parameter eine 55 
Checksumme gebildet. Fur den Fall, daB die vom aufrufen- 
den und aufgerufenen Programm gebildeten Checksummen 
unterschiedlich sind, wird das Programm abgebrochen. 

Auf diese Weise kann sichergestellt werden, daB ein 
Funktionsprogramm, insbesondere ein Funktionsprogramm, 60 
welches sicherheitsrelevante Daten abarbeitet, bereits zu 
Beginn auf Manipulationen hin untersucht wird, so daB der 
Start des aufgerufenen Programms mit fehlerhaften Parame- 
tern von vornherein verhindert werden kann und eine Aus- 
wcrtung der fchlcrbchaftctcn Daten nicht crmoglicht wird. 65 

Vorzugsweise wird der Speicherbereich, welcher zur Ab- 
lage der Checksumme vorgesehen ist, in einem RAM- oder 
Registerbereich angelegt. 
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Eine weitere oder alternative Ausfuhrungsform zur Bil- 
dung der Checksumme iiber die zu iibergebenden Parameter 
ergibt sich aus der Uberprufung der Riicksprungadressen. 
Dabei werden die Riicksprungadressen der aufrufenden 
Funktionen in einer Tabelle eingetragen und vom aufgerufe- 
nen Programm kann mittels dieser Tabelle uberpriift wer- 
den, ob die vom aufrufenden Programm ubermittelte Riick- 
sprungadresse in der Tabelle vorhanden ist. Bei einer fehler- 
haft mitgeteilten Rucksprungadresse kann das Programm 
unterbrochen werden. 

Eine weitere alternative oder zusatzliche Sicherheitsiiber- 
prufung kann erfolgen, indem bei Aufruf eines Unterpro- 
gramms bzw. eines Funktionsprogramms ein Timer gestartet 
wird. Dieser Timer zahlt die Taktzyklen, welche fiir die Aus- 
fuhrung des Programms notwendig sind. Es wird dabei zu- 
nachst als Grenzwert fur den Timer die fiir den regularen 
Unterprogrammablauf benotigte Anzahl der Taktzyklen als 
Grenzwert vorgegeben. Das Programm wird abgebrochen, 
wenn vor Beendigung des Unterprogramms die Anzahl der 
vorgegebenen Taktzyklen uberschritten wurde. 

In vorteilhafter Weise wird auch an bestimmten, vorgege- 
benen Stellen des Unterprogramms der Timerwert ausgele- 
sen und mit ebenfalls vorgegebenen Zwischenwerten vergli- v 
chen. Auch in diesem Fall wird das Programm abgebrochen, 
wenn der vorgegebene Zwischenwerl uberschriUen wurde. 

Im folgenden wird die Erfindung anhand der Fig. 1 bis 3 
naher erlautert. 

Es zeigen: 

Fig. 1 Ablaufdiagramm fiir die Uberprufung mittels Pruf- 
summe, 

Fig. 2 Ablauf fiir die Uberprufung mittels Rucksprung- 
adressen tabelle, 

Fig. 3 Ablauf fur die Uberprufung mittels Timer. 

In Fig. 1 ist der Ablauf eines Unterprogrammaufrufs, ins- 
besondere eines Funktions aufruf s beschrieben, wobei die 
Funktionsschritte 1 bis 3 das aufzurufende Programm be- 
treffen und die Funktionsschritte 4 bis 8 die Auswertung des 
Unterprogramms betreffen. 

Im aufzurufenden Programm werden zunachst in Schritt 1 
die fur die Ausfuhrung des Unterprogramms notwendigen 
Parameter bereitgestellt. Fiir diese Parameter wird in Schritt 
2 eine Prufsumme gebildet, die im einfachsten Fall aus ei- 
nem Parity-check bestehen kann. Im weiteren sind selbst- 
verstandlich die gangigen Verfahren zur Priifsummenbil- 
dung, z. B. CRC (Cyclical Redundancy Check) oder EDC 
einsetzbar. Die so ermittelte Prufsumme (Checksumme) 
wird in einen dafur vorgesehenen Speicherbereich einge- 
schrieben. Bei diesem Speicherbereich kann es sich um ei- 
nen fluchtigen Speicher (RAM) oder auch um einen nicht- 
fliichtigen, wiederbeschreibbaren Speicher (z. B. EEPROM) 
handeln. 

In AnschluB an die Bildung und Abspeicherung der Pruf- 
summe 1 erfolgt der Unterprogrammaufruf in Schritt 3. 
Schritt 4 stellt den Beginn der Ausfuhrung des Unterpro- 
gramms dar. In diesem Unterprogramm wird zunachst die 
Prufsumme 2 iiber die ubergebenen Parameter gebildet. 
Diese Prufsumme wird mit dem gleichen Verfahren gebil- 
det, mit dem auch die Prufsumme 1 im aufrufenden Pro- 
gramm ermittelt wurde. 

Als nachstes erfolgt in Schritt 6 eine Uberprufung der 
Priifsummen PS 1 und PS2 auf Gleichheit. Wird in diesem 
Schritt 6 festgestellt, daB die beiden Priifsummen ungleich 
sind, kann davon ausgegangen werden, daB bei der Uber- 
gabe der Programmparameter ein Fehler aufgetreten ist, 
wclchcr cin Hinwcis auf cine bcabsichtigtc Storung mit dem 
Ziel, Geheimdaten zu ermitteln, sein kann. Als MaBnahme 
kann in Schritt 7 das Programm beendet werden oder es 
werden entsprechende alternative MaBnahmen getroffen, 
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beispielsweise eine Fehlermeldung an das Haupiprogramm. 

Wird in Schritt 6 fesigestelll , daB die Priifsunuiien PS1 
und PS2 gleich sind, wird mil der eigentlichen Funktions- 
ausfuhrung begonnen. 

Die Fig. 2 zeigt eine Moglichkeit der Prog ram nisi cherung 5 
durch Uberprufen der Riicksprungadressen. Rucksprung- 
adressen werden beim Funktionsaufruf per Hardware auf 
den Slack gelegt. Im vorliegenden Fall werden also im 
Schritt 11 beim Unterprogranmiaufruf, ebenfalls die Infor- 
mal ionen voni aufrufenden Program in (z. B. Rucksprung- 10 
adressen) an das Unterprogramm ubergeben. GemaB derEr- 
findung werden die Riicksprungadressen in einer Tabelle 17 
verwaliel und bei der Ausfuhrung des Unterprogramnis wer- 
den zunachst in Schritt 12 die Rucksprungadressen - soweii 
sie im RAM abgelegt sind - auf Konsistenz hin untersucht, 15 
urn sie in Schritt 13 anhand der Tabelle 17 zu uberprufen. 
Wenn in Schritt 14 festgestellt wurde, daB die ubergebene 
Riicksprungadrcssc nicht in der Tabelle vorhanden ist, wird 
mit Schritt 15 das Programm beendet, andern falls wird in 
Schritt 16 mit der Ausfuhrung des Funktionsprogramms be- 20 
gonnen. 

Die Fig. 3 zeigt eine Ausfuhrungsform, bei der der rich- 
tige Program mablauf bzw. der ungestorte Programmablauf 
mittels eines Timers uberpruft wird. Unmittelbar nach dem 
Start des Unterprogramms in Schritt 21 wird in Schritt 22 25 
ein Timer gestartet. Dieser Tuner ist ausgelegt, die Zeit zu 
messen bzw. die Taktzyklen zu zahlen, welche fur die Aus- 
fuhrung des Unterprogramms benotigt werden. Im An- 
schluB an den Start des Timers in Schritt 22 wird mit Schritt 
23 die Funktion des Unterprogramms ausgefuhrt und nach 30 
Beendigung der Funktion wird in Schritt 24 der Timer ge- 
stoppt. In Schritt 25 wird uberpruft, ob die Anzahl der Takt- 
zyklen, welche fiir die Ausfuhrung des Funktionspro- 
gramms benotigt wurden, mit der vorgegebenen Anzahl von 
Taktzyklen ubereinstimmt. Fiir den Fall, daB keine Uberein- 35 
stimmung besteht, wird das Programm mit Schritt 26 been- 
det. Im anderen Fall wird in Schritt 27 mit der Program- 
mausfuhrung fortgefahren, beispielsweise indem zura 
Hauptprogramm zuruckgesprungen wird. 

In der Fig. 3 ist dargestellt, daB der Timer nach Ablauf der 40 
Funktion bzw. des Funktionsprogramms gestoppt und uber- 
pruft wird. In der Praxis kann die Sicherheit erhoht werden, 
indem bestimmte Stellen im Funktionsprogramm vorgese- 
hen werden, an denen der Timer zusatzlich uberpruft wird. 
Damit kann gegebenenfalls verhindert werden, daB das 45 
Funktionsprogramm trotz eines Fehlers oder AngrirTs weit- 
gehend ausgefuhrt wird. 

Alternativ kann auch vorgesehen werden, daB der Tinier- 
wert nach dem Start kontinuierlich mit einem Grenzwert 
verglichen wird und das Programm abgebrochen wird, wenn 50 
dieser Grenzwert erreicht bzw. uberschritten wurde. 

Die einzelnen Ausfuhrungsbeispiele nach den Fig. 1 bis 3 
wurden als eigenstandige, alternative MaBnahmen darge- 
stellt. Die Sicherheit kann erhoht werden, indem die Aus- 
fuhrungsbeispiele kombiniert werden. GroBte Sicherheit bil- 55 
det die parallele Uberprufung mittels Prufsumme, Riick- 
sprungadressenpriifung und Timeruberprufung. 

Paten r an spriiche 

60 

1. Verfahren zur Sicherung des Programmablaufs 
beim Aufruf von Unterprogranimen, dadurch gekenn- 
zeiclinet, daB das aufgerufene Programm vor bzw. 
wahrend der Programmausfiihrung eine Uberprufung 
der vom aufrufenden Programm dirckt odcr indirckt 65 
uberrnittelten Daten ausfuhrt. 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, daB 



- das aufrufende Programm uber die zu uberge- 
benden Parameter eine erste Checksumme bildet, 

- diese erste Checksumme in einem daftir vorge- 
sehenen Speicherbereich abgelegt wird, 

- das aufgerufene Programm vor seiner Ausfuh- 
rung uber die erhaltenen Parameter eine zweite 
Checksumme bildet und auf Gleichheit mit der er- 
sten Checksumme uberpruft und 

- bei Ungleichheit der ersten und der zweiten 
Checksunime das Programm abgebrochen oder 
eine Fehlermeldung ausgegeben wird. 

3. Verfahren nach Anspruch 1 oder Anspruch 2, da- 
durch gekennzeichnet, daB der Speicherbereich zur 
Ablage der Checksumme ein RAM- oder Registerbe- 
reich ist. 

4. Verfahren nach einem der Anspriiche 1 bis 3, da- 
durch gekennzeichnet, daB die Rucksprungadressen 
der aufrufenden Funktion in cincr Tabelle cingctragen 
werden und das aufgerufene Programm die vom aufru- 
fenden Programm mitgeteilte Rucksprungadresse uber- 
pruft, indem das Vorhandensein dieser Rucksprung- 
adresse anhand der Tabelle uberpruft wird. 

5. Verfahren nach einem der Anspriiche 1 bis 4, da- 
durch gekennzeichnet, daB bei Aufruf eines Unterpro- 
gramms ein Timer gestartet wird. welcher die fiir die 
Ausfuhrung des Programms benotigte Anzahl von 
Taktzyklen zahlt und das Programm abbricht, wenn vor 
Beendigung des Unterprogramms die vorgegebene An- 
zahl der Taktzyklen uberschritten wurde. - o 

6. Verfahren nach Anspruch 5, dadurch gekennzeich- 
net, daB der Timerwert an bestimmten, vorgegebenen 
Stellen ausgelesen und mit einem ebenfalls vorgegebe- 
nen Zwischenwert verglichen wird und das Programm 
abgebrochen wird, wenn der vorgegebene Zwischen- 
wert uberschritten wurde. 
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